Vous êtes sur la page 1sur 4

http://info2aaz.blogspot.

com

Mise en place d’un sonde IPS


SNORT_INLINE

http://snort-inline.sourceforge.net/

 Installation de l’environnement
Installation de la distribution (ici CentOS)
Configuration d’une adresse IP et de l’accès Internet

 Installation des prés requis


Liste des prés
requis : Iptables Libpcap
mysql-server Libnet Libpcap-devel
httpd Mysql-devel Iptables-devel
php Mysql Libdnet
php-mysql Gcc-c++ Libstdc++44-devel
pcre Gcc
pcre-devel

 Installation de SNORT_INLINE
Téléchargement de SNORT_INLINE

Tar –xvf snort_inline-XXXX.tar.gz

Création d’un dossier /etc/snort_inline


Création d’un dossier /etc/snort_inline/rules

Cp snort_inline-XXXX./etc/* /etc/snort_inline

Dans le fichier snort_inline.conf

Var RULE_PATH /etc/snort_inline/rules


Cp snort_inline-XXXX/etc/classification.config
/etc/snort_inline/rules
Cp snort_inline-XXXX/etc/reference.config /etc/snort_inline/rules
http://info2aaz.blogspot.com

Création d’un dossier de log

Mkdir /var/log/snort_inline

 Configuration de MySQL

mysqladmin –u root password password


mysql – root –p
create database snort;

Création des tables de la base SNORT_INLINE

mysql -u root -p snort < snort_inline-XXXX/schemas/create_mysql

Configuration du fichier snort_inline.conf

vi /etc/snort_inline/snort_inline.conf

Après la ligne avec "output alert_fast: snort_inline-fast", ajoutez:

output database: log, mysql, user=snortuser


password=snortpassword dbname=snort host=localhost

 Compilation de SNORT_INLINE
Dans le dossier SNORT_INLINE

./configure –with-mysql
make
make install

 Installation des RULES


Téléchargement des règles snort (snort-snapshot) de la même
version que le SNORT_INLINE installée (2.6 pour 2.6 par exemple).
Cela peut poser des problèmes de compatibilité, dut à des
arborescence différentes.

Copie des rules (snort-snapshot/rules/*) dans le dossier


/etc/snort_inline/rules

 Lancement de SNORT_INLINE
Chargement du module du noyau ip_queue
http://info2aaz.blogspot.com

modprobe ip_queue
lsmod | grep ip_queue
Configuration d’iptables

iptables -A INPUT -j QUEUE

Vérification des règles

iptables –L

Lancement de SNORT_INLINE

snort_inline -Q -v -c /etc/snort_inline/snort_inline.conf -l
/var/log/snort_inline

Vous devez alors obtenir ceci :

--== Initialization Complete ==--

,,_ -*> Snort_Inline! <*-


o" )~ Version 2.6.1.5 (Build 59) inline
'''' By Martin Roesch & The Snort Team:
http://www.snort.org/team.html
Snort_Inline Mod by William Metcalf, Victor Julien, Nick Rogness,
Dave Remien, Rob McMillen and Jed Haile
(C) Copyright 1998-2007 Sourcefire Inc., et al.

Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.6 <Build


11>
Preprocessor Object: SF_DNS Version 1.0 <Build 2>
Preprocessor Object: SF_FTPTELNET Version 1.0 <Build 10>
Preprocessor Object: SF_SSH Version 1.0 <Build 1>
Preprocessor Object: SF_SMTP Version 1.0 <Build 7>
Preprocessor Object: SF_DCERPC Version 1.0 <Build 4>
Not Using PCAP_FRAMES

Journal rapide

tail -f /var/log/snort_inline/snort_inline-fast

Journal complet

tail -f /var/log/snort_inline/snort_inline-full

 Création du bridge
Le trafic entre dans la sonde et le pare feu Netfilter filtre les
paquets et les envois pour traitement à la « sonde », grâce à la
librairie libpq
http://info2aaz.blogspot.com

La sonde compare les paquets avec les rules de SNORT_INLINE


Marques les paquets suspects en DROP
Renvoie les paquets ok et ceux en DROP sont jetés

Permettre au 2 cartes de se transmettre des paquets, il faut aller


dans :

Joe/etc/sysctl.conf

Et changer la ligne :

Net.ipv4.ip_forward=1

Créer le fichier /etc/sysconfig/network-scripts/ifcfg-br0 avec le


contenu suivant :
DEVICE=br0
TYPE=Bridge
IPADDR=[@IP]
NETMASK=[netmask]
ONBOOT=yes

Ce Bridge est constitué des interfaces eth0 et eth1.

Le fichier /etc/sysconfig/network-scripts/ifcfg-eth0 :

DEVICE=eth0
TYPE=Ethernet
BRIDGE=br0
ONBOOT=yes

Le fichier /etc/sysconfig/network-scripts/ifcfg-eth1 :

DEVICE=eth1
TYPE=Ethernet
BRIDGE=br0
ONBOOT=yes

Ces commandes impliquent donc que les interfaces eth0 et eth1


ne possèdent plus d’adresse IP, l’adresse IP de la machine devient
donc l’adresse IP du Bridge.

Redémarrer le réseau avec la commande :

/etc/init.d/network restart